figyelt tevékenységek Microsoft Defender for Identity
Microsoft Defender for Identity figyeli a szervezet Active Directoryjából, hálózati tevékenységeiből és eseménytevékenységeiből származó információkat a gyanús tevékenységek észleléséhez. A figyelt tevékenységadatok lehetővé teszik a Defender for Identity számára, hogy segítsen meghatározni az egyes lehetséges fenyegetések érvényességét, és megfelelően osztályozza és válaszoljon.
Érvényes vagy valódi pozitív fenyegetés esetén a Defender for Identity lehetővé teszi az egyes incidensek biztonsági incidenseinek hatókörének felderítését, az érintett entitások kivizsgálását és azok elhárításának módját.
A Defender for Identity által figyelt információk tevékenységek formájában jelennek meg. A Defender for Identity jelenleg a következő tevékenységtípusok monitorozását támogatja:
Megjegyzés:
- Ez a cikk minden Defender for Identity-érzékelőtípushoz kapcsolódik.
- Az Identitáshoz készült Defender által figyelt tevékenységek a felhasználói és a gépprofil oldalán is megjelennek.
- A Defender for Identity által figyelt tevékenységek Microsoft Defender XDR Speciális veszélyforrás-keresés oldalán is elérhetők.
Tipp
Az Advanced Hunting Identityhez kapcsolódó táblák összes támogatott eseménytípusával (ActionType
értékével) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
Figyelt felhasználói tevékenységek: A felhasználói fiók AD-attribútumának változásai
Figyelt tevékenység | Leírás |
---|---|
A fiók korlátozott delegálási állapota megváltozott | A fiók állapota mostantól engedélyezve van vagy le van tiltva a delegáláshoz. |
Fiók által korlátozott delegálási SPN-k módosultak | A korlátozott delegálás korlátozza azokat a szolgáltatásokat, amelyekre a megadott kiszolgáló a felhasználó nevében eljárhat. |
Fiókdelegálás módosítva | A fiókdelegálási beállítások módosítása. |
Fiók letiltva | Azt jelzi, hogy egy fiók le van-e tiltva vagy engedélyezve van-e. |
A fiók lejárt | A fiók lejáratának dátuma. |
A fiók lejárati ideje megváltozott | Módosítsa azt a dátumot, amikor a fiók lejár. |
Fiók zárolva módosítva | A fiókzárolási beállítások módosítása. |
Fiók jelszavának módosítása | A felhasználó megváltoztatta a jelszavát. |
A fiók jelszava lejárt | A felhasználó jelszava lejárt. |
A fiók jelszava soha nem jár le, módosult | A felhasználó jelszava úgy módosult, hogy soha ne járjon le. |
A nem kötelező fiókjelszó módosítva | A felhasználói fiók úgy lett módosítva, hogy üres jelszóval engedélyezze a bejelentkezést. |
Fiók intelligens kártyája kötelezően módosítva | Fiókmódosítások, amelyek megkövetelik, hogy a felhasználók intelligens kártyával jelentkezzenek be egy eszközre. |
A fiók által támogatott titkosítási típusok megváltoztak | A Kerberos által támogatott titkosítási típusok módosultak (típusok: Des, AES 129, AES 256). |
A fiók zárolásának feloldása megváltozott | A fiók zárolásának feloldására vonatkozó beállítások módosítása. |
Fiók UPN-nevének módosítása | A felhasználó egyszerű neve megváltozott. |
Csoporttagság módosítva | A felhasználót egy másik felhasználó vagy saját maga adta hozzá/távolította el egy csoportból vagy csoportból. |
Felhasználói e-mail-cím módosítva | A felhasználók e-mail attribútuma megváltozott. |
Felhasználókezelő módosítva | A felhasználó felettes attribútuma megváltozott. |
Felhasználói telefonszám módosítva | A felhasználó telefonszám attribútuma megváltozott. |
Felhasználói cím módosítva | A felhasználó címattribútuma megváltozott. |
Figyelt felhasználói tevékenységek: Az AD rendszerbiztonsági tag műveletei
Figyelt tevékenység | Leírás |
---|---|
Felhasználói fiók létrehozva | A felhasználói fiók létrejött. |
Számítógépfiók létrehozva | A számítógépfiók létrejött. |
A rendszerbiztonsági tag törölve lett | A fiókot törölték/visszaállították (a felhasználót és a számítógépet is). |
A rendszerbiztonsági tag megjelenített neve megváltozott | A fiók megjelenítendő neve X-ről Y-ra módosult. |
A rendszerbiztonsági tag neve megváltozott | A fióknév attribútum megváltozott. |
A rendszerbiztonsági tag elérési útja megváltozott | A fiók megkülönböztető neve X-ről Y-ra módosult. |
A rendszerbiztonsági tag Sam-neve megváltozott | A SAM neve megváltozott (a SAM az operációs rendszer korábbi verzióit futtató ügyfelek és kiszolgálók támogatásához használt bejelentkezési név). |
Figyelt felhasználói tevékenységek: Tartományvezérlőn alapuló felhasználói műveletek
Figyelt tevékenység | Leírás |
---|---|
Címtárszolgáltatás replikációja | A felhasználó megpróbálta replikálni a címtárszolgáltatást. |
DNS-lekérdezés | A tartományvezérlőn végrehajtott lekérdezésfelhasználó típusa (AXFR, TXT, MX, NS, SRV, ANY, DNSKEY). |
gMSA jelszólekérés | A gMSA-fiók jelszavát egy felhasználó lekérte. A tevékenység figyeléséhez a 4662-s eseményt kell összegyűjteni. További információ: A Windows-eseménygyűjtés konfigurálása. |
LDAP-lekérdezés | A felhasználó LDAP-lekérdezést hajtott végre. |
Lehetséges oldalirányú mozgás | Egy oldalirányú mozgást azonosítottak. |
PowerShell-végrehajtás | A felhasználó megkísérelt távolról végrehajtani egy PowerShell-metódust. |
Privát adatok lekérése | A felhasználó megkísérelte/sikerült lekérdezni a privát adatokat az LSARPC protokoll használatával. |
Szolgáltatás létrehozása | A felhasználó megpróbált távolról létrehozni egy adott szolgáltatást egy távoli gépen. |
SMB-munkamenet számbavétele | A felhasználó megpróbálta számba adni az összes olyan felhasználót, aki nyitott SMB-munkameneteket futtat a tartományvezérlőkön. |
SMB-fájl másolása | A felhasználó az SMB használatával másolt fájlokat. |
SAMR-lekérdezés | A felhasználó SAMR-lekérdezést hajtott végre. |
Tevékenységütemezés | A felhasználó megpróbálta távolról ütemezni az X feladatot egy távoli gépre. |
WMI-végrehajtás | A felhasználó megkísérelt távolról végrehajtani egy WMI-metódust. |
Figyelt felhasználói tevékenységek: Bejelentkezési műveletek
További információ: A tábla támogatott bejelentkezési típusaiIdentityLogonEvents
.
Monitorozott gépi tevékenységek: Számítógépfiók
Figyelt tevékenység | Leírás |
---|---|
A számítógép operációs rendszere megváltozott | Váltson a számítógép operációs rendszerének módosítására. |
SID-History módosult | A számítógép SID-előzményeinek módosítása. |